Confidentialité, Specificités Techniques et Sécurité de DigitalSafe

Confidentialité

DigitalSafe est entièrement conforme à ce qui suit :

  • Loi Fédérale Suisse pour la Protection des Données (FADP),
  • Liberté d' Information et Protection de la Vie Privée (FOIPPA),
  • Loi de Portabilité des Renseignements Personnels et de Responsabilité (PIPEDA),
  • Loi de Portabilité de l'Assurance Santé et de Responsabilité (HIPPA),
  • Normes de Sécurité de l'Industrie de Cartes de Paiement (PCI-DSS).
  • Toutes les données sont mémorisées en Suisse!
  • Sécurité et confidentialité Suisse sont garanties à 100%!

Spécificités Techniques

Système de Support

DigitalSafe fonctionne avec tous les systèmes d'exploitation et matériel informatique capables d'exécuter n' importe lequel des navigateurs web suivants:

  • Internet Explorer 7 ou plus récent
  • Firefox 3 ou plus recent
  • Safari 4 ou plus récent
  • Chrome 4 ou plus récent

Les systèmes de fonctionnement pris en charge sont (32bit et 64bit), mais ne sont pas limités à :

  • Windows XP
  • Windows Vista
  • Windows 7
  • Mac OS X
  • Linux
  • FreeBSD

Infrastructure du Centre de Données

Architecture de matériel informatique certifiée PCI-DSS incluant:

  • Surveillance effective d'un tiers de tous les serveurs, réseaux périphériques et environnement
  • Serveurs d'applications web avec système de sauvegarde et fonctionnalités de basculement complet
  • Serveurs de données avec système de sauvegarde et fonctionnalités de basculement complet
  • Connexions du réseau de basculement
  • Accès biométrique à toutes les installations
  • Caméras avec système de détection des mouvements
  • Système de sauvegarde interne entièrement automatisé pour permettre une récupération rapide dans le cas peu probable d'une défaillance catastrophique
  • Centres de données écologique - Le centre de données suisse utilise 100% d'énergie écologique
  • Vérification des antécédents pour tous les employés (y compris le personnel administratif)
  • Toutes les données sont memorisées dans un centre de données Tier 3 en Suisse.
  • Le Centre de données est certifié ISO 9001:2000 par SGS
  • Le Centre de données est conforme aux directives de sécurité SFB (Commission Fédérale Suisse des Banques)
  • SLA de 99,999%
  • Sécurité Suisse et confidentialité totales vous sont garanties!

Cryptage

Chez DigitalSafe, toutes les données, y compris les informations d'authentification d'utilisateur sont transmises sur Internet et stockées sur nos serveurs sous forme de cryptage.

Toutes les connexions à nos serveurs, pour tous les utilisateurs, sont protégées par cryptage SSL 2048bit.

Mots de passe

Les mots de passe sont cryptés avec l'algorithme bcrypt. Le verrouillage du compte après un nombre prédéfini de tentatives de connexion infructueuses empêche de deviner le mot de passe en vigueur. Deviner le mot de passe en fonction du temps est rendu impossible en raison de la nature du cryptage bcrypt.

Quand la session en cours prend fin, la fenêtre du navigateur est redirigée vers la page de connexion au cas où l'ordinateur serait laissé sans surveillance.

Notes

Les notes sont stockées sur le serveur crypté avec AES-256 et la clé de décryptage est stockée sur un serveur distinct, non accessible à partir d'Internet.

Pour une sécurité et confidentialité optimales, les utilisateurs peuvent choisir d'utiliser leur propre mot de passe pour crypter les données. Dans ce cas, il n'est pas possible de décrypter les données privées des utilisateurs sans connaître le mot de passe. Même le personnel DigitalSafe ne peut par conséquent décrypter les données.

Toutefois, cela signifie aussi que le mot de passe de l'utilisateur ne peut être réinitialisé. Les données seraient à jamais perdues si le mot de passe est perdu.

Sécurité Physique

Les application en ligne de notes personnelles DigitalSafe sécurisées stockent les données dans un entrepôt de données suisse de classe mondiale situé en Suisse, célèbre pour ses normes rigoureuses et le contrôle de qualité. DigitalSafe a l'environnement physique nécessaire pour que les serveurs fonctionnent 24 heures par jour, sept jours par semaine, même en cas de coupures d'électricité et lors de catastrophes naturelles majeures.

Ces installations de très hauts niveaux techniques sont conçues avec des planchers surélevés, des systèmes HVAC de contrôle de la température avec des zones de refroidissement séparées et des supports sismiques contreventés. Ils offrent la plus large gamme de fonctions de sécurité physique, y compris la meilleure détection de fumée et de systèmes d'extinction d'incendie, détecteurs de mouvement, accès sécurisé 24 X 7, surveillance par caméra vidéo et des alarmes de violation de sécurité.

Sécurité du Réseau

En conformité avec les Normes de Sécurité de l'Industrie de Cartes de Paiement (PCI-DSS), nous avons une tierce surveillance 24 à 7 de l'infrastructure de notre réseau pour vérifier les applications ainsi que les vulnérabilités de service. De plus, nous effectuons chaque année une vérification sur place qui dure plusieurs jours où chaque aspect du système est audité: du développement de logiciels en passant par le déploiement du matériel, de la politique du personnel à la gestion des mots de passe. Il y a plus de 200 critères auxquels DigitalSafe doit répondre afin de maintenir son niveau de conformité.

Conformité aux Normes de Sécurité de l'Internet

DigitalSafe est développé selon les lignes directrices des Normes de Sécurité de l'Internet -Open Web Application Security Project (OWASP)- et tous les développeurs sont formés sur l'OWASP. Selon les exigences de la norme PCI DSS, les développeurs DigitalSafe répondent à toutes les dix principales vulnérabiltés de OWASP.

Pas de stockage soumis au USA Patriot Act

DigitalSafe est fière de stocker vos informations dans un pays neutre et politiquement et économiquement stable, la Suisse. La Suisse ne se conforme pas au USA Patriot Act. Cela garantit que vos informations sont à l'abri des concurrents prédateurs ou des agences ou des entités ayant des motifs personnels qui s'immiscent dans votre vie privée et qui volent vos données sans votre connaissance.

Nous avons compilé une petite liste de liens de sites web et d'échantillons de texte pour vous informer de ce que représente le USA PATRIOT Act. DigitalSafe ne possède aucun serveur aux États-Unis. Tous nos serveurs sont localisés en Suisse où nous gérons notre plateforme de chambres fortes de sauvegarde en ligne suisse.

USA PATRIOT Act - comment il impacte les entreprises :

(Toutes les informations publiées sont récupérées à partir de plusieurs sources. Les liens sont fournis pour chaque section)

http://en.wikipedia.org/wiki/USA_PATRIOT_Act

Le USA PATRIOT Act (généralement connu sous le nom de Patriot Act) est une loi du Congrès des États-Unis et promulguée par le président George W.Bush le 26 octobre 2011. Le titre de l'Act est un acronyme inventé qui signifie Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act (Loi pour unir et renforcer l'Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme) de 2001.

L'Act a considérablement réduit les restrictions limitant la capacité des organismes d'application de la loi de rechercher les communications téléphoniques et électroniques, les dossiers médicaux, financiers et autres. Elle a atténué les restrictions imposées à la collecte des renseignements à l'intérieur des États-Unis, elle a étendu l'autorité du secrétaire du trésor en matière de régulation des transactions financières, particulièrement celles qui impliquent des individus et des entités étrangères et elle a élargi la discrétion des autorités d'application de la loi et de l'immigration pour la détention et l'expulsion des immigrants soupçonnés d'actes associés au terrorisme. La loi étend également la définition du terrorisme pour inclure le terrorisme intérieur, élargissant ainsi le nombre d'activités pour lesquelles les pouvoirs d'application de la loi du USA PATRIOT Act pouvaient être appliqués.

http://en.wikipedia.org/wiki/USA_PATRIOT_Act

Titre II : Procédures de surveillance

Article principal : USA PATRIOT Act, titre II

Le titre II est intitulé « Procédures augmentées de surveillance » et couvre tous les aspects de la surveillance des terroristes soupçonnés, ceux soupçonnés de se livrer à des fraudes ou abus informatiques et les agents des puissances étrangères qui se livrent à des activités clandestines. Il a principalement apporté des amendements au FISA et au ECPA, et de nombreux aspects parmi les plus controversés du USA Patriot Act résident dans ce titre. En particulier, le titre a permis aux organismes gouvernementaux de collecter des « renseignements étrangers » de citoyens américains et non américains et a modifié le FISA pour rendre la récupération des renseignements étrangers l'objectif significatif de la surveillance basée sur le FISA, alors que celle-ci était auparavant l'objectif principal.[37] Le changement de la définition avait pour but de retirer un « mur » légal entre les enquêtes criminelles et la surveillance visant à collecter des renseignements étrangers, car cela entravait les enquêtes lorsque la surveillance criminelle et la surveillance étrangère se chevauchaient.[38] Cependant, l'existence même de ce mur a été considérée par le tribunal de révision de la surveillance fédérale comme une interprétation erronée par les organismes gouvernementaux. Le prérequis statutaire qui exigeait que le gouvernement prouve qu'une cible de surveillance sous le FISA n'est pas un citoyen américain et qu'il est un agent d'une puissance étrangère a été retiré, même s'il exigeait que toutes enquêtes ne doivent pas être menées sur des citoyens qui se livrent à des activités protégées par le premier amendement.[39] Le titre a aussi étendu la durée des ordres de recherche physique et de surveillance du FISA,[40] et a donné aux autorités la capacité de partager les informations collectées devant un grand jury fédéral avec d'autres organismes.[41] La portée et la disponibilité des ordres de mise sur écoute et de surveillance ont été étendues en vertu du titre II. Les mises sur écoute ont été étendues pour inclure les informations d'adressage et de routage et permettre ainsi de surveiller des réseaux à commutation de paquets[42] - Le Electronic Privacy Information Center (EPIC) s'est opposé à cela, prétendant que cela ne prend pas en considération les adresses e-mail ou web, qui contiennent généralement du contenu dans les informations de l'adresse.[43] L'Act permet à tout juge de tribunal de district aux États-Unis d'émettre de tels ordres de surveillance.[42] et mandats de perquisition pour les enquêtes terroristes.[44] Les mandats de perquisition ont également été étendus grâce à l'amendement par l'Act du titre III du Stored Communications Access Act (Loi d'accès aux communications stockées) pour permettre au FBI d'accéder aux messages vocaux stockés par le biais d'un mandant de perquisition, au lieu de passer par les lois plus strictes de mise sur écoute.[45]

Plusieurs dispositions ont autorisé la divulgation des communications électroniques aux organismes d'application de la loi. Ceux qui opèrent ou possèdent un « ordinateur protégé » peuvent donner permission aux autorités d'intercepter les communications réalisées sur la machine, contournant ainsi les prérequis de la loi de mise sur écoute.[46] La définition d'un « ordinateur protégé » est définie dans le titre 18 du Code des États-Unis § 1030(e)(2) et englobe de façon générale les ordinateurs utilisés dans le commerce ou les communications entres États ou avec l'étranger, y compris ceux situés à l'extérieur des États-Unis. La loi qui régit la divulgation obligatoire et volontaire des communications des clients par les entreprises de télécommunications a été altérée pour permettre aux organismes de demander de telles communications conformément aux dispositions du titre 18 du Code des États-Unis relatives à la divulgation des communications électroniques (chapitre 119), aux enregistreurs sous forme de stylos et mouchards (chapitre 206) et communications stockées (121), même si elle a exclu la divulgation des habitudes de consultation des abonnés aux services de télécommunications.[47]. Les assignations obligeant les fournisseurs de services Internet à comparaître ont été étendues pour inclure non seulement « le nom, l'adresse, les enregistrements de facturation pour les appels téléphoniques locaux et longue distance, le numéro de téléphone ou autre numéro ou identité de l'abonné et que la durée du service d'un abonné », mais aussi les heures et les durées des sessions, les types de services utilisés, les informations sur l'adresse de l'appareil de communication (telles que les adresses IP), la méthode de paiement, le compte bancaire et les numéros de carte de crédit.[48] Les fournisseurs des communications sont aussi autorisés à divulguer les enregistrements ou les communications des clients s'ils les suspectent de menacer la vie humaine.[49]

Le titre II a établi trois dispositions très controversées : les mandats furtifs « Sneak and Peek », les mises sur écoute itinérantes et la capacité du FBI d'accéder aux documents qui révèlent les comportements des citoyens américains. La loi dite « Sneak and Peek » permet une notification retardée de l'exécution de tels mandats. La période avant laquelle le FBI doit notifier les récipiendaires de l'ordre n'a pas été spécifiée dans l'Act. Le manuel de terrain du FBI dit que c'est un « standard flexible »[50] et que la période peut être prolongée à la discrétion du tribunal.[51] Ces dispositions « sneak and peek » ont été invalidées le 26 septembre 2007 par la juge Ann Aiken après qu'un avocat de Portland, Brandon Mayfield, eut été mis injustement en prison à cause des recherches. Le tribunal a constaté que les recherches violaient la disposition qui interdit les recherches non raisonnables dans le quatrième amendement de la constitution des États-Unis.[52][53]

Les mises sur écoute itinérantes sont des ordres de mise sur écoute qui ne nécessitent pas de spécifier toutes les entreprises de télécommunication et tous les tiers communs dans un ordre de tribunal de surveillance. Celles-ci sont considérées comme importantes par le département de justice, car ils croient que les terroristes peuvent exploiter les ordres de mise sur écoute en changeant rapidement d'emplacement et d'appareils de communications tels que les téléphones mobiles,[54] alors que ses opposants y voient une violation de la clause particulière du quatrième amendement.[55][56] Une autre disposition très controversée est celle qui autorise le FBI à faire un ordre « nécessitant la production de toutes choses tangibles (y compris les livres, les dossiers, les papiers, les documents et autres éléments) pour une enquête visant à protéger les États-Unis contre le terrorisme international ou les activités de renseignement clandestines à condition qu'une telle enquête d'une personne des États-Unis ne soit pas menée seulement sur la base d'activités protégées par le premier amendement de la constitution. »[57] Même si elle ne visait pas directement les bibliothèques, l'association américaine des bibliothèques (ALA) s'est particulièrement opposée à cette disposition. Dans une résolution communiquée le 29 juin 2005, elle a déclaré que « la section 215 du USA Patriot Act permet au gouvernement de demander et d'obtenir de manière secrète les dossiers de bibliothèque d'un grand nombre d'individus sans raison de penser qu'ils soient impliqués dans une activité illégale. »[58] Cependant, la position de l'ALA a fait l'objet de critiques. Une critique célèbre de la position de l'ALA fut Heather Mac Donald du Manhattan Institute qui a affirmé dans un article pour le New York City Journal que « la fureur vis-à-vis de la section 215 est un cas d'étude de paranoïa par rapport au Patriot Act. »[59] Le titre couvre aussi de nombreuses autres dispositions diverses, y compris l'augmentation du nombre de juges du FISC qui passe de sept à onze (dont trois doivent résider dans un rayon de 32 km du district de Columbia),[60] des sanctions de commerce à l'encontre de la Corée du Nord et de l'Afghanistan contrôlé alors par les Talibans[61] et l'utilisation des traducteurs par le FBI.[62]

http://w2.eff.org/patriot/

Informations générales sur l'Act

Voici quelques extraits de sites web expliquant le USA PATRIOT Act et offrant aussi des informations sur le renouvellement de l'Act par le président Obama en 2010 :

http://www.slate.com/id/2087984/

La section 215 modifie la loi en matière de recherche des dossiers. Après le Patriot Act, les tiers détenteurs de vos dossiers financiers, médicaux, téléphoniques, de bibliothèque, de voyage, de location de films, d'église, de synagogue et de mosquée peuvent être recherchés sans votre connaissance ou consentement, du moment où le gouvernement dit qu'il essaie de protéger ses citoyens contre le terrorisme.

Pourriez-vous savoir si la section 215 a été appliquée à vous ? Non. La personne à laquelle on a ordonné de remettre les archives est muselée et ne peut divulguer la recherche à personne.

La section 218 dite « FISA » (Foreign Intelligence Surveillance Act) : Ce qu'elle fait : Des recherches secrètes peuvent maintenant être autorisées par un tribunal secret sans la connaissance du public ou sans tenir le département de justice responsable pourvu que le gouvernement peut prétendre qu'il y a un fondement de renseignements étrangers pour la recherche.

Pourriez-vous savoir si la section 218 a été appliquée à vous ? Seulement si vous êtes poursuivi plus tard en justice en utilisant des informations recueillies conformément à un mandat FISA. Vous aurez ensuite l'opportunité d'essayer de supprimer ces éléments de preuve dans le cadre d'une procédure judiciaire normale

Section 213 : la section 213 est une autre partie extrêmement controversée du Patriot Act, provoquant des protestations par des personnes de toutes les allégeances politiques. En permettant à l'état de vous fouiller d'abord et vous informer plus tard (parfois bien plus tard), la loi bouleverse le prérequis traditionnel que l'état vous informe à l'avance que vous faites l'objet d'une recherche.

Ce que ça fait : Les mandats furtifs « Sneak and Peek » étendent l'autorité des enquêtes furtives des recherches FISA à toute recherche criminelle. Cela autorise des recherches secrètes de votre domicile et de votre propriété sans préavis.

Section 206 : la section 2016 autorise la mise sur écoute itinérante : une surveillance non spécifique à un seul téléphone ou ordinateur, mais étendue à tout téléphone ou ordinateur potentiellement utilisé par la cible. Elle n'attire pas assez d'attention qu'elle en devrait. Si le gouvernement décide de surveiller un ordinateur à la bibliothèque de l'UCLA, toutes les communications de chaque utilisateur peuvent théoriquement être interceptées.

Ce que ça fait : étend la FISA pour autoriser la surveillance de toute communication faite ou reçue par une cible des services de renseignement sans spécifier la ligne téléphonique ou l'ordinateur à surveiller.

Section 505 : cette section autorise le procureur général ou son délégué à obliger les détenteurs de vos dossiers personnels à les remettre au gouvernement en rédigeant tout simplement une lettre de « sécurité nationale ». La section 505 a attiré moins d'attention nationale par rapport à la section 215 (consacrée aux dossiers de bibliothèque) ce qui explique peut-être son invocation plus fréquente.

Ce que ça fait : la section 505 autorise ce qui est essentiellement une assignation administrative des dossiers personnels. Les assignations ne nécessitent aucune cause probable ou surveillance judiciaire.

La loi avant et comment elle a changé : Avant le Patriot Act, ces lettres ne pouvaient être émises que contre des individus qui sont soupçonnés raisonnablement d'espionnage. Mais le Patriot Act a assoupli le standard en permettant l'utilisation des lettres contre quiconque, y compris les citoyens américains, même s'ils ne sont pas soupçonnés d'espionnage ou d'activité criminelle. Ces lettres peuvent maintenant être émises indépendamment par les agents du terrain du FBI à la place des hauts fonctionnaires. Et contrairement aux mandats de la section 215, ils ne font même pas l'objet d'une revue ou d'une supervision judiciaires superficielles.

Les dossiers qui peuvent être obtenus par le biais des lettres conformément au Patriot Act incluent les journaux d'appels téléphoniques, les journaux d'e-mail, certains dossiers financiers et bancaires et les rapports des cartes de crédit, en s'appuyant sur l'affirmation que de telles informations pourraient être « pertinentes » pour une enquête terroriste en cours. Ils ne peuvent pas être utilisés dans les enquêtes criminelles normales. Contrairement à la section 215, aucun ordre de tribunal (même pas un ordre approuvé sans discussion) n'est requis. Ceux forcés à remettre les dossiers sont muselés pour ne pas divulguer la demande.

Pourriez-vous savoir si la section 505 a été appliquée à vous : Non, à moins qu'une action ait été lancée à votre encontre en se basant sur les informations produites. »

Voici quelques liens proposant des informations sur le nouveau USA PATRIOT Act (révisé et étendu), signé récemment par le président Obama.

http://w2.eff.org/patriot/20020925_patriot_act.php

(Une copie collée du vrai US Patriot Act sur ce site)

http://tastethecloud.com/content/patriot-act-and-martial-law

Cette section est particulièrement importante pour les entreprises :

Étend les pouvoirs de surveillance pour accorder un accès gouvernemental plus simple aux comptes bancaires, ordinateurs domestiques, téléphones et comptes de cartes de crédit en se basant sur des assignations émises par le département de la justice. Les entités forcées de livrer des informations vous concernant ne peuvent pas refuser de les fournir (une expansion des pouvoirs actuels conformément au Patriot Act I). Les preuves obtenues qui lieraient une personne au terrorisme ou à des activités terroristes (telles que définies par le département d'État) ne seraient divulguées qu'à un tribunal (les individus n'auraient aucun droit de savoir pourquoi ils ont été inculpés) et les détentions avant les procès seraient obligatoires. Vous auriez une possibilité limitée de vous défendre contre les accusations.

http://www.eff.org/deeplinks/2010/02/epic-fail-congress-usa-patriot-act-renewed-without

(ceci explique comment le Patriot Act peut accéder aux fichiers des entreprises)

http://en.wikipedia.org/wiki/Controversial_invocations_of_the_USA_PATRIOT_Act

(Explique les dangers du USA PATRIOT Act)